实验室 2 - 练习 2 - 管理终结点 DLP
你是 Joni Sherman,Contoso Ltd. 新上任的合规性管理员,负责配置公司的 Microsoft 365 租户以防止数据丢失。 Contoso Ltd. 是美国的一家提供驾驶指导服务的公司,你需要确保敏感客户信息不会泄露到组织外部。 所以,你决定不仅要实现 Microsoft 365 DLP 策略,还要将此保护扩展到组织中的设备。
任务:
- 启用设备加入
- 将设备加入到终结点 DLP
- 创建终结点 DLP 策略
- 配置终结点 DLP 设置
- 配置 Microsoft Purview 扩展
任务 1 - 启用设备加入
在本任务中,你将为组织启用设备加入。
-
使用 SC-400-CL1\admin 帐户登录到客户端 1 VM (SC-400-CL1)。
-
在 Microsoft Edge 中,导航到
https://purview.microsoft.com
,并以 Joni Sherman 的身份登录到 Microsoft Purview 门户 。 以JoniS@WWLxZZZZZZ.onmicrosoft.com
身份登录(其中 ZZZZZZ 是实验室托管提供程序提供的唯一租户 ID)。 Joni 的密码是在上一练习中设置的。 -
在 Microsoft Edge 中,导航到
https://purview.microsoft.com
,然后从左侧边栏中选择“设置”。 -
在左侧边栏中,展开“设备加入”,然后选择“设备”。
-
在“设备”页上,选择“启用设备加入”,为租户启用解决方案。
-
选择“确定”,接受“启用设备加入”对话框中的内容 。
-
选择“确定”,接受“正在开启设备监视”对话框中的内容 。
你现在已经启用了设备加入功能,可以开始加入设备以使用终结点 DLP 策略对其进行保护。 启用该功能的过程可能需要长达 30 分钟的时间,但你可以继续执行下一个任务,因为其并不依赖此功能。
任务 2 - 将设备加入到终结点 DLP
在本任务中,你将使用本地脚本选项加入 Windows 11 设备,使其得到终结点 DLP 策略的保护。
-
使用 SC-400-cl1\admin 帐户登录到客户端 2 VM (SC-400-CL2)。
-
打开 Microsoft Edge,导航到
https://purview.microsoft.com
,以 Joni Sherman 的身份登录到 Microsoft Purview 门户。 以JoniS@WWLxZZZZZZ.onmicrosoft.com
身份登录(其中 ZZZZZZ 是实验室托管提供程序提供的唯一租户 ID)。 Joni 的密码是在上一练习中设置的。 -
从左侧边栏中选择“设置”。
-
在左侧边栏上,展开“设备加入”,然后选择“加入”。
-
在“加入”页上,在“部署方法”下拉菜单中,选择“本地脚本(最多可用于 10 台计算机)”,然后选择“下载包”。
-
在“下载”对话框中,将鼠标悬停在下载上方,然后选择文件夹图标以“在文件夹中显示”。
-
将 Zip 文件解压缩至 SC-400-CL1 的桌面。 应该会看到名为 DeviceComplianceLocalOnboardingScript.cmd 的脚本。
-
在桌面上,右键单击刚刚解压的 DeviceComplianceLocalOnboardingScript.cmd 文件,然后选择“显示更多选项”,再选择“属性”。
-
在属性窗口的“常规”选项卡底部,选择“安全”部分中的“取消阻止”,然后选择“确定”以保存此设置。
-
返回桌面,右键单击 DeviceComplianceLocalOnboardingScript.cmd 文件,然后选择“以管理员身份运行”。 在“用户帐户控制”对话框中,选择“是”。
-
在“命令提示符”屏幕中键入 Y 以进行确认,然后按 Enter 键 。
-
脚本完成后,将收到成功消息和“按任意键继续”提示。 按任意键关闭命令窗口。 完成此加入可能需要一分钟时间。
-
打开“开始”菜单并搜索
Access work or school
。 在“最佳匹配”下选择“访问工作或学校”。 -
在“添加工作或学校帐户”的“访问工作或学校”窗口中,选择“连接”。
-
在“设置工作或学校帐户”对话框中,选择“让此设备加入 Microsoft Entra ID”链接,并以 Joni Sherman
JoniS@WWLxZZZZZZ.onmicrosoft.com
(其中 ZZZZZZ 是实验室托管服务提供商提供的唯一租户 ID)的身份登录。 Joni 的密码是在上一练习中设置的。 -
在“请确认这是你的组织”对话框中查看租户 URL 并选择“加入”。********
-
设备连接后,在“你已完成所有设置!”屏幕上选择“完成” 。
-
重启客户端 2 VM (SC-400-CL2)。
-
重新登录到客户端 1 VM (SC-400-CL1)。
-
Microsoft Purview 窗口应仍在显示“设备”页。 刷新此页面并验证设备是否已成功加入。
你已经成功加入了一个设备,并将其加入到 Microsoft Entra ID 中,以受终结点 DLP 策略保护。
任务 3 - 创建终结点 DLP 策略
在此任务中,你将在 Microsoft Purview 门户中创建数据丢失防护 (DLP) 策略,以防止敏感信息被与 Windows 11 设备上的生成 AI 平台共享。 此策略将有助于确保敏感客户数据(如驾驶执照号和个人信息)不会被意外或有意地与 AI 平台共享,从而保护组织的数据完整性。
-
使用 SC-400-cl1\admin 帐户登录到客户端 1 VM (SC-400-CL1)。
-
你应仍位于 Microsoft Purview 门户中的“设备”页,并以 Joni Sherman 的身份登录。 选择屏幕右上角的“主页”按钮。 如果未登录,请导航到
https://purview.microsoft.com
并以 Joni Sherman 的身份登录。 Joni 的密码是在上一练习中设置的。 -
在 Microsoft Purview 门户中,从左侧边栏中选择“解决方案”,然后选择“数据丢失防护”。
-
在左侧导航面板中,选择“策略”,然后选择“+ 创建管理”。
-
在“从模板开始或创建自定义策略”页面上,依次选择“自定义”、“自定义策略”和“下一步”****************。
-
在“为 DLP 策略命名”页上输入:
- 名称:
Generative AI sharing DLP policy
- 说明:
Prevent sharing of sensitive data with generative AI platforms.
- 名称:
-
在“分配管理单元”**** 页面上,选择“下一步”****。
-
在“选择应用策略的位置”页上,仅选择“设备”这一位置。 如果已选择任何其他位置,请确保将其取消选中,然后选择“下一步”。
-
在“定义策略设置”页面上,选择“创建或自定义高级 DLP 规则”,然后选择“下一步”************。
-
在“自定义高级 DLP 规则”页面上选择“+ 创建规则” 。
-
在“创建规则”**** 页面上,输入:
- 名称:
Sensitive data protection rule
- 说明:
Detect and restrict sharing of sensitive information with generative AI platforms.
- 名称:
-
在“条件”下选择“+ 添加条件”,然后选择“内容包含”。
-
在新打开的“内容包含”区域中,选择“添加”,然后选择“敏感信息类型”。
-
在右侧的“敏感信息类型”浮出面板中,搜索
U.S.
并选择所有美国相关的敏感信息类型。 选择浮出面板底部的“添加”。 -
向下滚动到“操作”,选择“+ 添加操作”下拉列表,然后选择“审核或限制设备上的活动”。************
-
在新打开的“审核或限制设备上的活动”区域中,选中“服务域和浏览器活动”部分中的“上传到受限的云服务域或从不允许的浏览器访问”复选框,然后在此选项下选择“+ 为敏感服务域选择不同的限制”。
-
在“敏感服务域限制”浮出面板中,选择“+ 添加组”。
-
在“选择敏感服务域组”中,选中“生成式 AI 网站”复选框,然后选择浮出面板底部的“添加”。
-
返回“敏感服务域限制”页,确保“生成式 AI 网站”已列出,然后选择浮出面板底部的“保存”。
-
返回“创建规则”,选中“粘贴到受支持的浏览器”复选框,然后在此选项下选择“+ 为敏感服务域选择不同的限制”。
-
在“敏感服务域限制”浮出面板中,选择“+ 添加组”。
-
在“选择敏感服务域组”中,选中“生成式 AI 网站”复选框,然后选择浮出面板底部的“添加”。
-
返回到“服务域和浏览器活动”部分中的“创建规则”,将“上传到受限的云服务域或从不允许的浏览器访问”和“粘贴到受支持的浏览器”对应的操作从“仅审核”更新为“阻止”。
-
在“所有应用的文件活动” 部分中,保留默认操作仅审核。
-
在“用户通知”部分中,将“使用通知来通知用户并帮助引导他们正确使用敏感信息” 设为“开启”。
-
在“终结点设备”下,选中“当限制活动时向用户显示策略提示通知。当你在 Windows 中为活动选择“阻止”时会打开此功能。若要关闭 Windows 设备上的通知,请禁用限制。”复选框********。
-
在“Microsoft 365 服务”下,选中“使用策略提示通知 Office 365 服务用户”复选框 。
-
选择浮出面板底部的“保存”。
-
返回到“自定义高级 DLP 规则”页,选择“下一步”。
-
在 “策略模式 ”页上,选择 “立即 打开策略”,然后选择“ 下一步”。
-
在“查看并完成”页面上,查看策略设置,然后选择“提交”******** 以创建策略。
-
创建策略后,请在“已创建新策略”页上选择“完成”。
你已成功激活终结点 DLP 策略。 此策略将阻止与生成式 AI 平台共享敏感信息,确保驾驶执照号和个人信息等敏感数据免受未经授权的访问或泄露。
任务 4 - 配置终结点 DLP 设置
在本任务中,你将在 Windows 11 设备上配置一个文件夹的文件路径排除,以确保该文件夹的内容不会被你自己创建的终结点 DLP 策略监视。
-
你应仍使用 SC-400-cl1\admin 帐户登录到客户端 1 VM (SC-400-CL1),并且应该会以 Joni Sherman 的身份登录到 Microsoft 365。
-
在 Microsoft Edge 中,Microsoft Purview 门户选项卡中的“策略”页应仍处于打开状态,该页用于数据丢失防护。 从左侧边栏中选择“设置”。
-
在设置页上,从左侧边栏中选择“数据丢失防护”。
-
“数据丢失防护设置” 页应在显示“终结点 DLP 设置”。
-
在“终结点 DLP 设置”页面上,展开“Windows 的文件路径排除”,并选择“+ 添加文件路径排除”************。
-
在“从 Windows 设备中排除这些文件路径”浮出控件页上的“文件路径排除”字段中,输入
C:\FilePathExclusionTest
,然后选择右侧的“+”按钮。 选择“保存”以保存此输入****。 -
返回到“终结点 DLP 设置”页面,展开“敏感数据的浏览器和域限制”,并选择“+ 添加或编辑不允许的浏览器”。************
-
在“添加不允许的浏览器”浮出控件页中,选中“Google Chrome”对应的复选框,然后选择“保存”。
-
返回到“终结点 DLP 设置”页,选中“服务域”下拉列表,并将其从“关闭”更改为“阻止”。
-
在“更新云应用模式”对话框中,选择“是”以激活阻止模式********。
-
在“服务域”下,选择“+ 添加云服务域”。********
-
在“添加云服务域”浮出控件页上的“域”字段中输入
dropbox.com
,然后选择右侧的“+”。 选择“保存”以保存此设置。 -
关闭浏览器窗口。
你现在已为终结点 DLP 策略配置了自定义设置。 你创建的每个策略都将忽略你配置的文件夹中的内容,并且 Google Chrome 浏览器已添加为不允许处理敏感数据的浏览器。
任务 5 - 配置 Microsoft Purview 扩展
作为合规性管理员,你需要评估向多个用户推出 Chrome 浏览器用于处理敏感数据的新业务要求。 对于此测试,你需要将 Google Chrome 浏览器安装到客户端 01,然后从 Google Web Store 手动添加“适用于 Google 的 Microsoft Purview 合规性扩展”。
-
从任务栏中打开 Edge 浏览器。
-
通过
https://chrome.google.com
导航到 Google Chrome 下载。 -
选择“下载 Chrome”,然后选择“下载”通知中的“打开文件”,以打开“ChromeSetup.exe”。
-
在“用户帐户控制”对话框中选择“是”以安装 Chrome 浏览器 。
-
安装完成后,在“登录 Chrome”页上选择“不登录”。
-
在“设置默认浏览器”页上选择“跳过”。
-
当新安装的 Chrome 浏览器窗口打开时,导航到 Chrome Web Store 中的 Microsoft Purview 扩展,网址为:
https://chrome.google.com/webstore/detail/microsoft-purview-extensi/echcggldkblhodogklpincgchnpgcdco
-
验证你是否位于 Microsoft Purview 扩展的扩展页上,然后选择“添加至 Chrome” 。
-
在“添加“Microsoft Purview 扩展”上? 窗口中,选择“添加扩展”。
-
关闭关于正在添加到 Chrome 的扩展的通知,然后导航到
chrome://extensions
。 -
验证“Microsoft Purview 扩展”是否可见并是否已激活。
-
关闭 Chrome 浏览器窗口。
你已成功安装了 Chrome 浏览器,并向客户端添加了 Microsoft Purview 扩展。 现在可以像 Edge 浏览器一样使用 Chrome 浏览器来处理敏感数据,并且以前配置的终结点 DLP 策略在使用 Chrome 浏览器时也适用。